Нова версия на ботнета Prometei заразява над 10 000 системи по целия свят

Picture of e-security.bg
e-security.bg
Aрхив | Зловреден код
11 март 2023

Актуализирана версия на зловреден софтуер за ботнет, наречен Prometei, е заразила над 10 000 системи по целия свят от ноември 2022 г. насам.

Инфекциите са както географски безразборни, така и опортюнистични, като повечето жертви са докладвани в Бразилия, Индонезия и Турция.

Prometei, наблюдаван за пръв път през 2016 г., е модулна ботнет мрежа, която разполага с голям репертоар от компоненти и няколко метода за разпространение, някои от които включват и използване на пропуски в ProxyLogon на Microsoft Exchange Server.

Той се отличава и с това, че избягва да нанася удари по Русия, което предполага, че хакерите, които стоят зад операцията, вероятно са базирани в страната.

 

Мотивите на кросплатформения ботнет са финансови, като той използва предимно пула си от заразени хостове за добив на криптовалута и събиране на идентификационни данни.

Най-новият вариант на Prometei (наречен v3) подобрява съществуващите си функции, за да предизвика криминалистичния анализ и да задълбочи достъпа си до машините на жертвите, се казва в доклад на Cisco Talos, споделен с The Hacker News.

Последователността на атаката протича по следния начин: След като се установи успешно, се изпълнява команда PowerShell за изтегляне на полезния товар на ботнета от отдалечен сървър. След това основният модул на Prometei се използва за извличане на действителния полезен товар за криптодобив и други спомагателни компоненти в системата.

Някои от тези спомагателни модули функционират като програми за разпространение, предназначени за разпространение на зловредния софтуер чрез протоколите Remote Desktop Protocol (RDP), Secure Shell (SSH) и Server Message Block (SMB).

Prometei v3 заслужава да се отбележи и с използването на алгоритъм за генериране на домейни (DGA) за изграждане на инфраструктурата за командване и контрол (C2). Освен това той включва механизъм за самоактуализация и разширен набор от команди за събиране на чувствителни данни и управление на хоста.

Не на последно място, зловредният софтуер разполага с уеб сървър Apache, който е в комплект с базиран на PHP уеб шел, способен да изпълнява Base64-кодирани команди и да извършва качване на файлове.

„Това неотдавнашно добавяне на нови възможности [показва], че операторите на Prometei непрекъснато актуализират ботнета и добавят функционалност“, казват изследователите от Talos Андрю Уиндзор и Ваня Свайцер.

 

#атаки, # крипто
The Hacker News

Подобни

Amazon разкри мащабна APT операция
13.11.2025
Ducktail-malware_b
Landfall засяга устройства Samsung Galaxy
11.11.2025
spyware
Фалшиви съобщения примамват собственици на изгубени iPhone-и
7.11.2025
iPhone12Blue_shutterstock
239 зловредни приложения в Google Play с над 42 милиона изтегляния
6.11.2025
malware_android
Rhysida използва платформите на Microsoft за нова мащабна малуeр кампания
6.11.2025
malware-via-canva-1080x600
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.